Si tratta delle vulnerabilità cross-site scripting che consentirebbero ad aggressori remoti di modificare documenti e fogli di calcolo altrui gestiti attraverso i servizi web messi a disposizione da Google.
Se lasciata irrisolta la vulnerabilità cross-site scripting (XSS) avrebbe
permesso ad aggressori remoti di modificare documenti e fogli di calcolo altrui
gestiti attraverso i servizi web messi a disposizione da Google.
Philipp
Lenssen, autore della scoperta, ha dichiarato: “la falla di sicurezza è
direttamente correlata con un aggiornamento effettuato su di uno specifico
servizio di Google che non implementa le difese necessarie contro l’aggiunta di
codice da remoto“.
Secondo Lenssen la lacuna nella fase di
programmazione sarebbe molto simile ad un altro problema messo a nudo lo scorso
fine settimana da un altro esperto e prontamente risolto dai tecnici di Mountain
View.
In quel caso, l’autore della scoperta dimostrò come, creando una
pagina web in hosting sul dominio google.com, potesse impadronirsi dei dati
memorizzati nel cookie di autenticazione per l’accesso ai servizi del motore di
ricerca. Invitando un utente a visitare uno specifico indirizzo era quindi
possibile prendere possesso delle credenziali di accesso ai servizi di Google.
La vulnerabilità segnalata da Lenssen è probabilmente ancor più
pericolosa: facendo leva su un particolare codice JavaScript sarebbe stato
possibile trasmettere i dati “rubati” anche verso siti web esterni al dominio
google.com.
I portavoce di Google confermano di aver tempestivamente
risolto tutte le vulnerabilità al momento conosciute e di non essere a
conoscenza di alcun incidente che abbia coinvolto le due più recenti falle.
L’azienda invita altresì tutti gli esperti a seguire una condotta
responsabile segnalando eventuali problemi riscontrati direttamente alla società
di Mountain View evitando di rendere pubblici dettagli tecnici che potrebbero
essere utilizzati per mettere a punto codici nocivi.
